お問い合わせ

アクセス

AGS通信

導入事例
株式会社インテージホールディングス様の導入事例
情報セキュリティコンサルティングサービス
株式会社インテージホールディングス
▲(前) 株式会社インテージホールディングス 内部統制部 奥田和夫様(左) 内部統制部長 情報セキュリティ室長 田中整様(右)
 (後)ASAシステムアドバイザリー 前田常務執行役員
 株式会社インテージホールディングス様では、2014年11月より情報セキュリティコンサルティングサービスをご利用いただいています。今回は、導入を検討した理由や検討時の情報収集方法、サービス利用後の感想について株式会社インテージホールディングスの田中様、奥田様にお話を伺いました。
 情報セキュリティ強化に向けてコンサルティングの活用を検討
―御社が「情報セキュリティ対策」の見直しを本格的に実施しようと思ったのは、いつ頃、どんなきっかけからでしょうか?
 コンサルティングサービスを利用する前の2014年頃は、社内において軽微なセキュリティインシデントがいくつか発生していました。大きな事故に至ることはありませんでしたが、このままの状態を放置していたら、いつか大きな事故に繋がる危険性があると感じていたため、セキュリティ強化に向けてどういった施策をすればよいのか、検討を始めました。

―ASAの情報セキュリティコンサルティングサービスをいつ、どこで知りましたか?
 AGSから紹介を受けた社員からサービスを知りました。情報セキュリティ強化のプロジェクト責任者から金融機関のセキュリティレベルはかなり高いと聞いていたため、金融機関の仕事をしているAGSであれば信頼性も高く、情報セキュリティに対しても強いのではないかと考えました。

―提案を受けたときの第一印象は、いかがだったでしょうか?
 ずいぶん気を遣っているなと感じました。コンサルティングとは、積極的にいろんなことを提案してくるものだと思っていましたが、慎重にこちらの要望を聞いてくれる印象でした。
 また、各階層にインタビューを行った結果を分析し、報告書が出されるサービスというのは、とてもインパクトがありました。当社グループの公開資料や規定類等をすべて読み込んだうえで、社長・本部長から担当者まで上手に実態や本音を聴きだして纏めたものをベースとして、組織・体制面から技術的対策に至るまで広範にアドバイスをいただきましたので説得力がありました。どのようなサービスなのかという不安もありましたが、実際に報告書を見て、余計な心配であったことがすぐに分かりました。

―「情報セキュリティコンサルティングサービス」を導入する際に、他のサービスとの比較は行いましたか?
 他社サービスと比較や検討しようという動きは、あまりありませんでした。現場サイドがコンサルティング導入に対して積極的ではなかったこともあるかもしれません。ただ、個別に他のコンサルティングサービスを利用している部門はありましたので、そういった部門では情報セキュリティコンサルティングのサービス内容を理解し、比較をしていたと思います。

―なぜ最終的に「情報セキュリティコンサルティングサービス」をお選びいただいたのか、理由を教えてください。
 情報セキュリティのレベルが高く、信頼性のある会社に依頼したいと考えていました。ホールディングスの体制となってからの日が浅かったため、グループ全体としての統制が必要な時期でもあり、きちんとした会社にコンサルティングをお願いしたいと考えていました。まだ世間で情報セキュリティ対策の重要性が騒がれる前にコンサルティングを受けることができたのは良かったと思います。

 コンサルティングを受け、本来あるべき姿ヘ
―「情報セキュリティコンサルティングサービス」をどう活用されていますか?
 2014年に情報セキュリティコンサルティングサービスを利用し、分析結果として頂いた報告書が当社のセキュリティ対策のベースとなりました。
 コンサル導入前は、セキュリティインシデントを各社で抱えてしまうことや、一部の幹部のみが把握しているような状態であったため、課題を改善するには、グループを横断して活動する情報セキュリティ委員会が必要でした。
 そこで、グループ各社から情報セキュリティ責任者を選出し、委員会の活動を開始しました。委員会は、基本的に毎月開催し、グループ全体で情報共有を行うことができました。委員会を設置したことにより、組織的なフレームワークができたため、本来あるべき姿に近づきつつあると思います。  
ベースとなった報告書は、付属資料も含めて全部で100ページ程のものに
▲ベースとなった報告書は、付属資料も含めて全部で100ページ程のものに
 また、コンサルティングの提言により、標的型攻撃メール対応訓練や情報セキュリティ研修を実施できたのも良かったと思います。世間で情報セキュリティが騒がれ始め、また当社にも標的型攻撃メールが送れられてきたというタイミグで訓練を実施することができたため、社員も臨場感のある体験をすることができたのではないかと思います。訓練結果を速やかに研修に取り入れていただいたのも効果的でした。

―情報セキュリティ研修についての感想を教えてください。
 今までの社内研修とは全く異なり、臨場感を味わえる、気づきを与えるような研修で、とても新鮮でした。今までに20回程研修を実施していますが、内容が毎回バージョンアップしているのは素晴らしいですね。社長の想いなど、コンサルティング時のインタビューを通して得た情報が研修に反映されているので、受講者も思わず引き込まれてしまう研修だと思います。講師が当社のことを良く理解してくれているので、業務に密着した内容になっているのも嬉しいですね。受講者も講師が社内の専門用語を話すとは想定していなかったので驚いています。
 また、管理者向けの研修では、管理者とはどうあるべきか、情報セキュリティと絡めた部下への指導方法について教えて頂けたので非常に良かったです。グループ会社の役員にもオブザーバーとして参加してもらったのも良かったと思います。
 研修の中で会社からの情報セキュリティに関するお知らせの認知度を確認して頂いたのですが、実際にお知らせを確認している社員は少ないことが判り、お知らせを掲載する担当者と受け取る社員との間でのギャップを感じることができました。その結果を受けて、今では情報セキュリティ委員会や委員も経由して情報を周知するように変更しています。

 情報セキュリティ対策は永遠の課題
―今後期待されることや要望を教えてください。
 前回のコンサルティングのときは、経営陣へのヒアリングが中心で、現場へのヒアリングは2~3回しか実施できなかったため、もっと現場の生の声を聴きだして欲しいと思っています。コンサルディングを利用してから2年程経ちましたので、どのくらい浸透しているかも確認したいですね。その際には、もう少し踏み込んだ内容を追及して頂けると良いと思います。
 元々社内の情報セキュリティに対する意識は高いものでしたが、全体を対象とした対策をすることができずにいました。しかし、情報セキュリティコンサルティングサービスの利用をきっかけとして、情報セキュリティ委員会が設置され、セキュリティに関する議論ができるようになり、さらにはCSIRTが設置されるなど、加速度的に情報セキュリティの向上が図られています。
コンサルティングや研修は永遠の課題だと思いますので、今後も引き続きご指導いただければと思います。


インテージホールディングスのサイトへ
情報セキュリティコンサルティングのページへ